継続した意識付けで利用者の情報セキュリティ意識を高める
USBメモリの安全な利用環境の構築には、利用ポリシーを定めて必要に応じて管理ツールなどでシステム的に制御することが有効です。しかし、小型で手軽に扱えるUSBメモリは不注意によって紛失してしまうことも少なくないため、利用者自身の情報セキュリティ意識を高めることが大切だということに変わりはありません。運用開始後も、利用者の情報セキュリティ意識を高めていくために、継続的な施策が重要になります。
1)利用申請・承認のフローを定める
新しいUSBメモリを導入する際は、利用申請と承認の手順を定めて、手続きに従って許可されたUSBメモリ以外は利用を制限するようにします。申請を行うことで「安易に利用してはいけない」という意識付けとなります。
2)利用時に注意を促すメッセージを表示する
許可されたUSBメモリであっても、PCに接続された場合には「取り扱いに注意してください」といったメッセージを表示することで、都度注意を促すことができます。
3)定期的に棚卸を実施して所在確認する
支給したUSBメモリの管理を利用者(利用部署)に任せている場合、定期的に棚卸を行い、USBメモリの所在を確認することで、知らないうちに紛失していないかを確認します。また、棚卸を実施することで利用者の管理意識を高める効果も期待できます。
4)長期間利用されていないUSBメモリは回収する
利用申請時には必要だったUSBメモリも、業務状況の変化によって使われなくなることもあります。長期間利用されていないUSBメモリがあれば、利用者から返却してもらうことで、本当に必要なUSBメモリだけに絞って管理することができます。
特に棚卸や回収については、USBメモリ自体が安価なこともあり、あまり意識されていない点です。しかし、重要な個人情報などが保存されたまま、長期間所在が確認できていないということがないよう、定期的にご確認いただくことをお勧めします。
SKYSEA Client Viewの事例では、年に2回のペースでUSBメモリの棚卸を実施すると同時に、長期間使われていないUSBメモリを調査。現場に確認の上、いったん返却してもらうようにして運用されているケースがあります。また、はじめから1年間の使用期限を設けてUSBメモリを貸与し、1年ごとに使用申請をするように定めている事例もあります。